DB12-T1274-2023-公共信用数据应用服务规范-天津市

ICS03.080.01CCSA1212天津市地方标准DB12/T1274—2023公共信用数据应用服务规范Specificationfortheuseandserviceofpubliccreditdata天津市市场监督管理委员会发布DB12/T1274—2023前言本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草。本文件由天津市发展和改革委员会提出并归口。本文件起草单位：天津市公共信用中心。本文件主要起草人：杨立全、陈立松、高爽、王振江、郑彦东、柳峰、宋占松、陈扬。IDB12/T1274—2023公共信用数据应用服务规范1范围本文件规定了公共信用数据应用服务的基本原则、数据分级分类、主体分级管理、主要流程与安全要求。本文件适用于开展公共信用数据应用服务的信用服务机构和数据需求方，其他相关机构可参照使用。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T10113分类与编码通用术语GB/T22117信用基本术语GB/T35295信息技术大数据术语GB/T38667-2020信息技术大数据数据分类指南3GB/T10113、GB/T22117、GB/T35295和GB/T38667界定的以及下列术语和定义适用于本文件。具有完全民事行为能力的自然人、法人和非法人组织(以下统称信用主体)，在社会和经济活动中履根据数据的属性或特征，将其按照一定的原则和方法进行区分和归类，并建立起一定的分类体系和[来源：GB/T38667-2020，3.3，有修改]按照数据遭到破坏（包括攻击、泄露、篡改、非法使用等）后对国家安全、社会秩序、公共利益以及自然人、法人和非法人组织的合法权益的危害程度以及实施的便利程度对数据进行定级，为数据全生命周期管理的安全策略制定提供支撑。41DB12/T1274—20234.24.34.4分级分类、精准管控应按照分级分类的方式，精准管控公共信用数据，保障信用数据全生命周期的可控。安全可信、合规发展应建立自主可控的公共信用数据应用安全体系，依法依规进行授权使用。迭代优化、长效活跃应迭代优化服务内容、服务方式与服务渠道，构建长效活跃的公共信用数据应用服务体系。5数据分级分类数据分类5.15.1.1总体原则按照数据全生命周期与服务方式，可分为全量原始数据、脱密脱敏数据、产品数据、服务数据、信用报告数据、公开可机读数据、公开数据七类。5.1.2全量原始数据全量原始数据来源于公共信用相关的业务系统或信用平台，涵盖信用主体的全量信用数据。5.1.3脱密脱敏数据对全量原始数据进行脱密脱敏处理后的数据，可根据不同业务需要进行不同方式的脱密与脱敏处理。由公共信用平台上提供可公开访问的数据。按照公共信用数据的重要敏感程度与应用服务方式，可将公共信用数据划分为四级，对应不同的数2DB12/T1274—2023表1公共信用数据分级数据级别重要敏感程度数据分类示例4级对社会、企业与公众非常重要，发生泄露会造成重大损失，含有重要敏感信息全量原始数据原始信用数据库3级2级1级对社会、企业与公众比较重要，发生泄露会造成较大损失，含有重要敏感信息脱密脱敏数据经过脱密脱敏后的对外服务数据库对社会、企业与公众一般重要，发生泄露会造成一般损失，含有普通敏感信息产品数据、服务数据、信用报告数据公开可机读数据、公开数据专项分析报告、信用评价结果、信用网站查询结果可公开访问的信息，不含敏感信息通过接口访问或下载的数据、网站数据6主体分级管理应按照规模、信用、专业人员、专业技术、已有案例等因素对需求主体由专家评审分级，实行动态评价与管理，数据需求主体可分为七级，见表2。表2需求主体分级管理主体级别七级主体权利在约定、可控与可审计条件下对全量原始数据进行加工、分析与利用在约定、可控与可审计条件下对脱敏脱密数据进行加工、分析与利用按照约定内容进行数据产品加工与利用按照约定方式仅对数据进行分析返回结果获得信用报告数据分级4级数据分类全量原始数据脱密脱敏数据产品数据六级3级7公共信用数据应用服务应按照注册、定级、授权、服务、变更、评价的流程进行，见图1。3DB12/T1274—2023图1公共信用数据应用服务主要流程公共信用数据的需求主体应在公共信用数据应用服务平台上进行注册，并提供相应的证明材料。一、二、三级主体不需要进行申请；四、五、六、七级主体应进行申请，并经专家评定后享有相应管理机构对数据需求主体级别可进行变更或撤销，数据需求主体也可自行申请级别的变更。84DB12/T1274—2023公共信用数据应用服务平台及其提供服务的过程应符合数据存储、处理、加工与使用的安全要求，保障信用主体的数据安全。8.2数据安全8.2.13、4级公共信用数据的应用与服务，由公共信用数据管理机构严格流程、严控资质、严把规章。2、3级公共信用数据的应用与服务，应通过“数据不动、算法移动”的方式，保障数据安全。8.2.2对自然人非公开的信用数据，应由自然人授权后方可提供服务。8.3主体安全对四级及以上的数据需求主体，须签订相应的协议以及保密协议，对主体参与工作的人员须签订保密协议，保障主体安全。8.48.58.6技术安全可引入区块链、隐私计算、可信计算等技术，构建可溯源、可审计的信用数据安全可控应用方式。算法安全数据需求主体应对算法进行专用性、合规性与安全性声明，并符合主管部门对算法管理规定的要求。结果安全应对公共信用数据应用服务的结果进行审核与审计，保障符合约定和合规可控。5DB12/T1274—2023参考文献[1]GB/T38667-2020信息技术大数据数据分类指南[2]JR/T0158—2018证券期货业数据分类分级指引[3]DB33/T2351—20